“CDRThief” มัลเเวร์ชนิดใหม่บน Linux ที่พุ่งเป้าหมายเพื่อทำการขโมยบันทึกรายละเอียดการโทรบนระบบ VoIP Softswitch

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก ESET ได้เปิดเผยถึงการค้นพบมัลเเวร์ชนิดใหม่ใน Linux ที่มีชื่อว่า "CDRThief" โดยมัลเเวร์ชนิดใหม่นี้พุ่งเป้าหมายไปที่ระบบ Voice over IP (VoIP) Softswitch เพื่อทำการขโมยข้อมูล Call Detail Records ( CDR )

นักวิจัยกล่าวว่าเป้าหมายหลักของมัลแวร์ CDRThief คือแพลตฟอร์ม Linux VoIP ได้แก่ Softswitch รุ่น VOS2009 และ 3000 จากบริษัท Linknat ในประเทศจีน ซึ่งเมื่อมัลแวร์สามารถเข้าถึงระบบได้แล้วจะค้นหาฐานข้อมูล MySQL ภายในที่ Softswitch จากรายการไดเร็กทอรีที่กำหนดไว้ล่วงหน้าเพื่อพยายามเข้าถึง Credential บนฐานข้อมูล MySQL และจะทำการ exfiltrates ข้อมูลเช่น Username, Password, IP address หลังจากทำการบุกรุกแล้วมัลเเวร์จะทำการ exfiltrate ข้อมูลส่วนตัวต่างๆ จาก Softswitch ที่ถูกบุกรุกรวมเช่น CDR หรือ Metadata และจะทำการเรียกใช้คำสั่ง SQL โดยตรงในฐานข้อมูล MySQL เพื่อทำการดักจับและรวบรวมข้อมูลที่เกี่ยวข้องกับ VoIP gateway

และนอกจากนี้ข้อมูลที่จะถูก exfiltrated จะถูกทำการบีบอัดและเข้ารหัสด้วยคีย์ RSA-1024 แบบฮาร์ดโค้ดก่อนที่จะทำการคัดลอก ซึ่งจะทำให้ผู้ดำเนินการมัลแวร์เท่านั้นที่สามารถถอดรหัสข้อมูลที่ถูกกรองออกมาได้

นักวิจัยยังกล่าวอีกว่าการปฏิบัติการของผู้คุกคามยังคงไม่ชัดเจนแต่คาดเดาว่าผู้โจมตีอาจเข้าถึงอุปกรณ์โดยใช้การ Brute-force attack หรือโดยใช้ช่องโหว่ที่ถูกค้นพบทำการโจมตี ซึ่งทั้งนี้เมื่อมีข้อมูล CDR และ VoIP gateway ผู้โจมตีสามารถใช้ประโยชน์จากข้อมูลที่ได้รับทำการหลอกหลวงและฉ้อโกงผู้ใช้ทั่วไปได้ หรือนำไปทำการโกงที่ชื่อว่า International Revenue Share Fraud (IRSF) ซึ่งเป็นการโทรไปยังเบอร์ที่มีการเก็บค่าบริการราคาแพงซึ่งผู้โจมตีเป็นเจ้าของ ทำให้องค์กรสูญเสียเงินให้กับผู้โจมตี ผู้ดูแลระบบที่มีการใช้งาน Softswitch ควรทำการเฝ้าระวังมัลแวร์ดังกล่าว

ที่มา: thehackernews.